Pflichtschulung §38 BSIG BSI-Handreichung AWARE7 + isits AG

NIS-2 Schulung für Geschäftsführer

Ihre gesetzliche Pflichtschulung nach §38 BSIG — kompakt in 4 Stunden. Basierend auf der offiziellen BSI-Handreichung. Kein technisches Vorwissen nötig.

4 Stunden

Online oder Inhouse

Zertifikat §38 BSIG

Platz sichern bei isits AG Inhouse-Schulung anfragen

Nächster Termin: 10. Juni 2026 · Plätze verfügbar

NIS-2 Pflichtschulung — §38 BSIG

Persönliche Haftung §38 BSIG

Geschäftsführer haften persönlich bei Pflichtverletzung

~29.500 Unternehmen neu betroffen

In Deutschland durch NIS-2 reguliert

BSI-konform Handreichung 09/2025

Inhalte nach offizieller BSI-Empfehlung

Kompakt

699€

netto

10 Mio€

max. Bußgeld

Online Inhouse BSI-Handreichung §38 BSIG In Kooperation mit isits AG

Warum diese NIS-2 Schulung Pflicht ist

Das NIS-2-Umsetzungsgesetz (BSIG-E) verpflichtet Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen nicht nur zur Umsetzung und Überwachung von Risikomanagementmaßnahmen (§38 Abs. 1), sondern auch zur regelmäßigen Teilnahme an Schulungen (§38 Abs. 3 BSIG-E). Die Schulungspflicht ist keine Option — sie ist gesetzliche Vorschrift.

§38 Abs. 3 BSIG-E definiert drei konkrete Kompetenzbereiche, die eine Geschäftsleitungsschulung abdecken muss:

Risikoerkennung

Erkennung und Bewertung von Cybersicherheitsrisiken — auf strategischer, nicht technischer Ebene

Risikomanagement

Kenntnis technisch-organisatorischer Risikomanagementpraktiken und der 10 Mindestmaßnahmen nach §30 BSIG-E

Auswirkungsbeurteilung

Beurteilung der Auswirkungen von Risiken und Maßnahmen auf die erbrachten Dienste der Einrichtung

Technisches Detailwissen ist nicht erforderlich — wohl aber die Fähigkeit, fundierte strategische Entscheidungen zur Cyber- und Informationssicherheit zu treffen. Das BSI empfiehlt in seiner Handreichung vom 30.09.2025, dass eine Schulung alle drei Bereiche adressiert — ein Fokus nur auf Risikomanagementmaßnahmen würde nicht als ausreichend bewertet.

Persönliche Haftung der Geschäftsleitung

§38 Abs. 1 BSIG-E verpflichtet die Geschäftsleitung, Risikomanagementmaßnahmen nach §30 umzusetzen und zu überwachen. §38 Abs. 2 regelt die Haftung: Geschäftsleitungen haften persönlich für schuldhaft verursachte Schäden nach den auf die Rechtsform anwendbaren Regeln des Gesellschaftsrechts. Bei Aufsichtsmaßnahmen des BSI nach §§61, 62 BSIG-E wird auch die Einhaltung der Schulungspflicht geprüft. Bußgelder: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes.

Praxis statt Theorie — Ihre Referenten sind Pentester

Diese Schulung wird von AWARE7 GmbH — einem der führenden deutschen Cybersecurity-Beratungsunternehmen — in Kooperation mit der isits AG (International School of IT Security, 20+ Jahre Weiterbildungspartner) durchgeführt.

Was das für Sie bedeutet: Ihre Referenten sind keine reinen Juristen oder Theoretiker. Sie führen Penetrationstests, ISMS-Audits und Incident-Response-Einsätze in der Praxis durch. Die Beispiele und Szenarien in der Schulung stammen aus echten Projekten — anonymisiert, aber real.

Ihr Mehrwert

Schulungspflicht nach §38 Abs. 3 BSIG-E erfüllen — mit Dokumentation gemäß §61/§62 BSIG-E
Alle drei BSI-Kompetenzbereiche — Risikoerkennung, Risikomanagement und Auswirkungsbeurteilung
10 Maßnahmen nach §30 Abs. 2 BSIG-E — mit BSI-Leitfragen zur Selbstüberprüfung
Haftungsrisiken minimieren — belastbare Dokumentation gegenüber Aufsichtsbehörden (§§61, 62 BSIG-E)
Keine Prüfung erforderlich — weder gesetzlich noch durch das BSI verpflichtend vorgesehen
Praxis-Perspektive — Referenten mit Erfahrung aus echten Pentests und ISMS-Audits
SOLL-Inhalte des BSI vollständig abgedeckt — plus ergänzende KANN-Inhalte mit Szenarien und Fallstudien

10 Risikomanagementmaßnahmen nach §30 Abs. 2 BSIG-E

Die BSI-Handreichung definiert zu jeder der zehn gesetzlichen Mindestmaßnahmen konkrete Leitfragen, die Geschäftsleitungen beantworten können müssen. Unsere Schulung vermittelt alle zehn Maßnahmen auf Management-Ebene:

Risikoanalyse

Konzepte für Risikoanalyse und Sicherheit für Informationssysteme

Incident Response

Bewältigung von Sicherheitsvorfällen

Business Continuity

Backup, Wiederherstellung, Krisenmanagement

Lieferkettensicherheit

Sicherheit in der Lieferkette und bei Dienstleistern

Sichere IT-Beschaffung

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung

Wirksamkeitsbewertung

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Cyberhygiene & Schulungen

Grundlegende Verfahren und Schulungen für Mitarbeitende

Kryptografie

Einsatz von Kryptografie und Verschlüsselung

Personalsicherheit

Sicherheit des Personals, Zugriffskontrolle und Asset-Management

MFA & sichere Kommunikation

Multi-Faktor-Authentifizierung und gesicherte Notfallkommunikation

In Kooperation mit der isits AG

Die isits AG — International School of IT Security ist seit über 20 Jahren Deutschlands führendes Aus- und Weiterbildungszentrum für Cybersecurity mit Sitz in Bochum. Durch die Kooperation verbinden wir die Praxis-Expertise von AWARE7 mit der bewährten Schulungsinfrastruktur und Zertifizierungskompetenz der isits AG.

Lehrplan

01 Recht

Rechtlicher Rahmen & NIS-2-Richtlinie

~60 Minuten

›Überblick über Ziele, Anwendungsbereich und Geltungsbereich der NIS-2-Richtlinie (SOLL)
›Nationale Umsetzung: NIS2UmsuCG und novelliertes BSIG-E
›Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitung (§38 Abs. 1–3 BSIG-E)
›Persönliche Haftung nach gesellschaftsrechtlichen Regeln (§38 Abs. 2 BSIG-E)
›Melde-, Unterrichtungs- und Registrierungspflichten inkl. dreistufigem Melderegime
›Dokumentationspflicht und Nachweisführung (§§61, 62 BSIG-E)

02 Risiko

Risikomanagement & Standards

~90 Minuten

›Risikoanalyse: Identifikation, Bewertung und Überwachung von Cybersicherheitsrisiken (SOLL)
›10 Mindestmaßnahmen nach §30 Abs. 2 BSIG-E — Bedeutung und Auswirkungen auf Management-Ebene
›Risikobehandlungsstrategien: Vermeidung, Minderung, Übertragung, Akzeptanz
›Incident-Response, Business Continuity und Lieferkettensicherheit
›Überblick über Standards und Best Practices (ISO 27001, BSI IT-Grundschutz)
›Sektor- und einrichtungsspezifische Anforderungen und Bedrohungsszenarien (KANN)

03 Praxis

Praxis & Selbstüberprüfung

~90 Minuten

›BSI-Leitfragen: 10 strukturierte Fragen zu den Risikomanagementmaßnahmen
›Szenarien, Übungen und Fallstudien aus echten Bedrohungslagen (KANN)
›Beurteilung der Auswirkungen von Risiken und Maßnahmen auf erbrachte Dienste (SOLL)
›Zusammenfassung, Handlungsempfehlungen und nächste Schritte
›Ausstellung der Schulungsdokumentation nach §38 Abs. 3 i.V.m. §§61, 62 BSIG-E

Zielgruppe & Voraussetzungen

Im Sinne des NIS-2-Umsetzungsgesetzes ist „Geschäftsleitung" jede natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen oder wichtigen Einrichtung berufen ist (BT-Drs. 21/1501). Das BSI empfiehlt darüber hinaus, die Schulung auch auf quasi-äquivalente Positionen auszuweiten:

Geschäftsführer und Vorstände — gesetzlich verpflichtet nach §38 Abs. 3 BSIG-E
C-Level-Entscheider — COO, CFO, CTO und weitere Mitglieder der obersten Leitung
Personen in quasi-äquivalenten Positionen — die der Geschäftsleitung zuarbeiten oder sie vertreten
Compliance- und Risikomanagement-Verantwortliche — die die Geschäftsleitung in NIS-2-Fragen beraten

Hinweis: Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach §29 BSIG-E gelten nicht als Geschäftsleitung im Sinne dieses Gesetzes. Für diese gelten abweichende Regelungen nach §43 Abs. 2 BSIG-E.

Voraussetzungen: Keine technischen Vorkenntnisse erforderlich. Die Geschäftsleitung muss nicht so versiert sein wie die IT-Verantwortlichen — sie muss aber Cybersicherheitsrisiken sinnvoll einschätzen und entsprechende Maßnahmen treffen können.

Zertifizierung & Prüfung

Nach Abschluss der Schulung erhalten Sie eine aussagekräftige Dokumentation, die gemäß BSI-Handreichung mindestens folgendes enthält:

Informationen zum Schulungsteilnehmenden (Name, Funktion)
Dauer der Schulung
Behandelte Inhalte gemäß §38 Abs. 3 BSIG-E und der offiziellen BSI-Handreichung
Durchführung durch AWARE7 GmbH in Kooperation mit der isits AG

Diese Dokumentation ist nach §61 Abs. 1 i.V.m. §62 BSIG-E intern aufzubewahren und auf Verlangen den zuständigen Behörden bzw. „unabhängigen Stellen" vorzulegen. Bei Aufsichtsmaßnahmen des BSI wird die Einhaltung der Schulungspflicht geprüft.

Wichtig: Eine Prüfung der Schulungsteilnehmenden, um „ausreichende Kenntnisse und Fähigkeiten" zu belegen, ist weder gesetzlich noch durch das BSI verpflichtend vorgesehen. Der Schulungsnachweis selbst ist die geforderte Dokumentation.

Jetzt anfragen

Häufige Fragen

Wer muss an der NIS-2-Schulung teilnehmen?

Nach §38 Abs. 3 BSIG sind alle Mitglieder der Geschäftsleitung verpflichtet, regelmäßig an Schulungen teilzunehmen. 'Geschäftsleitung' ist laut Gesetzentwurf jede natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen oder wichtigen Einrichtung berufen ist. Das BSI empfiehlt darüber hinaus, die Schulungspflicht auf Personen in quasi-äquivalenten Positionen auszuweiten.

Ist mein Unternehmen von NIS-2 betroffen?

NIS-2 betrifft Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in 18 definierten Sektoren — darunter Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Lebensmittel und viele weitere. In Deutschland sind ca. 29.500 Unternehmen neu betroffen. Im Zweifelsfall empfehlen wir eine individuelle Betroffenheitsprüfung.

Wie oft muss die Geschäftsleitung geschult werden?

Das Gesetz verlangt 'regelmäßige' Teilnahme. Laut Gesetzesbegründung gelten Schulungen, die mindestens alle drei Jahre angeboten werden, als regelmäßig. Das BSI betont jedoch, dass das Intervall risikoangemessen sein muss. Unabhängig vom 3-Jahres-Rhythmus sollte eine erneute Schulung erfolgen bei: Wechsel in der Geschäftsleitung, signifikanten Änderungen der Geschäftsprozesse, Änderungen der Risikoexposition oder bei wesentlichen Änderungen an Risikomanagementmaßnahmen.

Reicht eine allgemeine Security-Awareness-Schulung aus?

Nein. Die Schulungspflicht nach §38 Abs. 3 BSIG ist gesondert von den Schulungen für Mitarbeitende (nach §30 Abs. 2 Nr. 7 BSIG). Das Gesetz verlangt, dass Geschäftsleitungen ausreichende Kenntnisse und Fähigkeiten in drei Bereichen erwerben: (1) Erkennung und Bewertung von Risiken, (2) Risikomanagementpraktiken, (3) Beurteilung der Auswirkungen von Risiken und Maßnahmen auf die erbrachten Dienste. Eine allgemeine Awareness-Schulung deckt das nicht ab.

Brauche ich technisches Vorwissen?

Nein. Die Schulung ist bewusst nicht technisch ausgelegt. Sie richtet sich an Entscheider und vermittelt strategische Kompetenz: Risiken erkennen, Maßnahmen bewerten, fundierte Entscheidungen treffen. Technisches Detailwissen ist nicht erforderlich.

Was kostet die Schulung?

Die Schulung kostet 699 € netto (831,81 € inkl. MwSt.) pro Teilnehmer. Für Inhouse-Schulungen erstellen wir ein individuelles Angebot. Bei Firmenbuchungen ab 3 Personen sind Gruppenkonditionen möglich.

Erhalte ich einen Nachweis für die Schulungspflicht?

Ja. Sie erhalten eine aussagekräftige Dokumentation mit Informationen zum Schulungsteilnehmenden, der Dauer und den behandelten Inhalten. Diese Dokumentation ist gemäß §61 Abs. 1 i.V.m. §62 BSIG-E intern aufzubewahren und auf Verlangen den zuständigen Behörden bzw. 'unabhängigen Stellen' vorzulegen. Wichtig: Eine Prüfung der Teilnehmenden ist weder gesetzlich noch durch das BSI verpflichtend vorgesehen.

Was passiert, wenn ich mich nicht schulen lasse?

§38 Abs. 1 BSIG verpflichtet die Geschäftsleitung, Risikomanagementmaßnahmen umzusetzen und zu überwachen. §38 Abs. 2 regelt die persönliche Haftung: Geschäftsleitungen haften für schuldhaft verursachte Schäden nach den auf die Rechtsform anwendbaren Regeln des Gesellschaftsrechts. Die Bußgelder betragen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Bei Aufsichtsmaßnahmen des BSI nach §§61 und 62 BSIG-E wird die Einhaltung der Schulungspflicht überprüft.

Wie läuft die Online-Schulung technisch ab?

Die Schulung findet als Live-Online-Seminar über eine DSGVO-konforme Plattform statt. Sie benötigen nur einen aktuellen Browser und eine stabile Internetverbindung. Die Interaktion mit den Referenten erfolgt in Echtzeit per Video, Audio und Chat. Alternativ bieten wir die Schulung auch als Inhouse-Format an.

Was unterscheidet diese Schulung von anderen NIS-2-Seminaren?

Unsere Referenten sind praktizierende Pentester und ISMS-Berater bei AWARE7 — keine reinen Juristen oder Theoretiker. Sie bringen Praxiserfahrung aus echten Sicherheitsaudits, Penetrationstests und Incident-Response-Einsätzen mit. In Kooperation mit der isits AG (20+ Jahre Weiterbildungspartner für Cybersecurity) bieten wir eine Schulung, die regulatorische Anforderungen mit realer Bedrohungslage verbindet.

Aus dem Blog

Alle Artikel

Informationssicherheit

Bereit für den nächsten Karriereschritt?

Sichern Sie sich Ihren Platz und investieren Sie in Ihre Zukunft.

Kostenlose Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich